Nova botnet IoT mira vulnerabilidades em roteadores Tenda

Nova botnet IoT mira vulnerabilidades em roteadores Tenda

Uma nova botnet IoT baseada no malware Mirai est explorando vulnerabilidades zero-day (vulnerabilidade grave em softwares e sistemas operacionais) em roteadores da Tenda. Chamada de Ttint, a botnet — que tambm inclui recursos semelhantes a ferramentas de acesso remoto (RAT) — foi detalhada no dia 2 de agosto em um relatrio da Netlab, unidade de segurana da chinesa Qihoo 360.

De acordo com os pesquisadores, a Ttint tem sido usado por quase um ano contra os roteadores da Tenda com o intuito de construir uma botnet IoT (internet das coisas), mas diferentemente das botnets IoT detectadas no passado, a Ttint aparenta ser muito mais nociva.

Isso porque alm de infectar os dispositivos possibilitando ataques DDoS, ela implementou outros meios de invaso usando roteadores como proxies para retransmisso do trfego, adulterando o firewall do roteador e as configuraes de DNS e permitindo aos invasores a capacidade de execuo de comandos remotos nos dispositivos infectados.

“Dois zero-day, 12 funes de acesso remoto para o roteador, protocolo de trfego criptografado e infraestrutura […] disso que se trata. Esta botnet no parece ser uma unidade muito comum”, reportou a Netlab.

Reprodu

De acordo com a Netlab, roteadores com verso de firmware entre AC9 e AC18 devem ser considerados vulnerveis ao Ttint. Foto: Tenda/Divulgao

Problemas no resolvidos

Segundo o relatrio publicado pela Netlab, a botnet parece ter sido implementada em dezembro de 2019, quando a Ttint foi detectada explorando o primeiro zero-day (rastreado como CVE-2020-10987) em roteadores vulnerveis da Tenda.

A botnet continuou explorando esta vulnerabilidade at julho de 2020, quando Sanjana Sarda, analista de segurana jnior da Independent Security Evaluators, publicou um relatrio detalhado sobre este zero-day e quatro outros.

A Tenda, no entanto, no lanou um patch de firmware para corrigir as descobertas de Sarda. E para piorar, semanas aps o relato da analista, a Ttint foi detectado abusando de um segundo zero-day — antecipando possveis resolues feitas pela Tenda sobre a primeira falha.

Os pesquisadores da Netlab entraram em contato com a Tenda para reportar a nova explorao de vulnerabilidade detectada, mas, novamente, a empresa no realizou nenhum tipo de correo.

Perigo vista

A composio da Ttint foi outro detalhe que chamou a ateno dos pesquisadores. certo que desde o Mirai, reportado em 2016, diversas botnets com ramificaes da base do cdigo original foram encontradas.

Contudo, a Ttint parece ser uma espcie de “frankenstein”, juntando elementos de vrias botnets e criando uma verso Mirai muito mais complexa. “[…] combinar seus recursos de novas maneiras e introduzir um protocolo C2 para adaptar e reconfigurar o bot para criar uma ferramenta de acesso remoto flexvel uma novidade para malware IoT”, afirmou Pascal Geenens, evangelista de segurana ciberntica da Radware.

Reprodu

Diferena de composio entre o Ttint e o Mirai. Foto: Netlab/Divulgao

Ainda de acordo com Geenens, “o Ttint pode marcar o incio de amadurecimento do malware IoT no geral e uma alavancagem mais ampla de cases mais sofisticados.

Nota: recomendvel que os usurios verifiquem a verso de firmware de seus roteadores Tenda e, caso enquadrem-se nos modelos entre AC9 e AC18, o uso dos mesmos deve ser descartado por medidas de segurana.

Via: ZDNet

GarotoProdigio

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *